第4章-访问控制与VPN技术要点课件

《计算机网络安全》

课程讲义清华大学出版社1第四章访问控制与VPN技术

2本章内容访问控制的概念、模型

访问控制中AAA组件

虚拟专用网（VPN）技术

3学习目标了解访问控制技术的概念和特点

掌握访问控制分类

掌握AAA技术

理解VPN的定义及其类型

掌握VPN的各种隧道协议

44.1访问控制技术

访问控制技术的基本概念 访问控制（AccessControl）是针对越权使用资源的防御措施，即判断使用者是否有权限使用、或更改某一项资源，并且防止非授权的使用者滥用资源。 访问控制通常包含以下三方面含义： 一是机密性控制，保证数据资源不被非法读出； 二是完整性控制，保证数据资源不被非法增加、改写、删除和生成； 三是有效性控制，保证资源不被非法访问主体使用和破坏。

54.1访问控制技术

访问控制技术的基本概念 访问控制系统一般包括： （1）主体：发出访问操作、存取要求的主动方，通常指用户或用户的某个进程。 （2）客体：被调用的程序或欲存取的数据访问。 （3）安全访问政策：一套规则，用以确定一个主体是否对客体拥有访问能力。64.1访问控制技术

访问控制模型

访问控制功能组件包括了下列四个部分：

1）发起者；

2）访问控制实施功能AEF；

3）访问控制决策功能ADF；

4）目标（Target）。74.1访问控制技术

访问控制组件的分布

AEF所提供的功能可以独立成一个功能组件，称为AEFComponent，简称为AEC；同样的，ADF所提供的功能也可独立成一个功能组件，称为ADFComponent，简称为ADC。AEC及ADC可以有不同的组合方式。

84.1访问控制技术

访问控制组件的分布

ADF能由一个或多个ADF组件实现，且AEF能由一个或多个AEF组件实现。如图所示为访问控制组件间的关系的示例。这里描述的关系只适用于单个发起者和单个目标，其他示例可能包括使用多于一个ADC和AEC。94.1访问控制技术

访问控制活动

（1）建立访问控制策略的表示 （2）建立访问控制信息ACI的表示 （3）给发起者和目标分配ACI （4）绑定ACI到发起者、目标和访问请求 （5）使ADI对ADF可用 （6）修改ACI （7）撤销ADI （8）ACI转发104.1访问控制技术

访问控制与其它安全措施的关系

（1）身份认证

身份认证与访问控制尽管有某些共性和联系，但服务却是不相同的。身份认证是判断访问者是否具有其声称的身份的处理过程。访问控制是信息安全保密防范的第二道防线，它是身份认证成功的基础上，取得用户身份，根据身份信息和授权数据库决定是否能够访问某个资源。 在某些系统中用于身份认证的验证设施与ADF搭配在一起。在分布式系统中，不需要搭配这些功能，并且可使用分离的发起者ACI，因此身份仅被简单地当作发起者绑定ACI的一部分。114.1访问控制技术

访问控制与其它安全措施的关系

（2）数据完整性 数据完整性服务能用于确保在访问控制组件内或组件之间输入和输出的完整性。 （3）数据机密性 在一些安全策略控制下，可要求数据机密性服务以便对访问控制组件或访问控制组件之间的某些输入和某些输出实现机密性，例如，防止收集敏感信息。124.1访问控制技术

访问控制与其它安全措施的关系

（4）安全审计 安全审计技术是一种事后追查手段。审计系统根据审计设置记录用户的请求和行为，同时入侵检测系统实时或非实时地检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”——用户的身份。

ACI可用来审计一个特定发起者的访问请求。需要收集若干审计线索，以便能够准确地识别哪个发起者执行了哪些访问请求。

134.1访问控制技术

访问控制颗粒和容度

访问控制策略可在不同的颗粒级别上定义目标。每一个颗粒级别有它自己逻辑上的分离策略，并可使用不同AEF与ADF组件。 通过规定一种策略，容度可用来对一个目标集实施访问控制，只有在对包含这些目标的一个目标被允许访问时，该策略才允许访问这些目标。容度也应用在包含于大组里的发起者子组。在一个元素被包含在另一个元素之中的情况下，在试图访问经密封的元素之前，有必要给发起者赋予“通过”该密封元素的访问权力。14

4.2访问控制的分类

强制访问控制（MAC）

指系统强制主体服从事先制定的访问控制策略，在八十年代得到普遍应用，主要用于多层次安全级别的军事应用中。

在MAC系统中，所有主体和客观都被分配了安全标签以标识一个安全等级。当主体访问客体时，调用强制访问控制机制，根据主体的安全等级和访问方式，比较主体的安全等级和客体的安全等级，从而确定是否允许主体对客体的访问。15

4.2访问控制的分类

自主访问控制（DAC）

在确认主体身份及所属的组的基础上，对访问进行限定的一种控制策略。在这种方式下，主体可以按照自己的意愿精确指定系统中的其他对其客体的访问权。其实现理论基础是访问控制矩阵，将系统的安全状态描述为一个矩阵，矩阵的行表示系统中的主体，列表示系统中的客体，每个元素表示主体对客体所拥有的访问权限。

16

4.2访问控制的分类

自主访问控制（DAC）

为提高效率，系统不保存整个矩阵，在具体实现时是基于矩阵的行或列来实现访问控制策略。目前，主要有两种实现方式: （1）基于行（主体）的DAC实现 通过在每个主体上都附加一个该主体可以访问的客体的明细表来表现，根据表中信息的不同可分为以下三种形式：①权能表②前缀表③口令 （2）基于列（客体）的DAC实现 通过对每个客体附加一个可访问它的明细表来表示，有以下两种形式：①保护位②访问控制列表ACL

17

4.2访问控制的分类

基于角色的访问控制（RBAC）

RBAC模型通过引入“角色”的概念，将访问控制中的主体对象和对应权限解耦。RBAC是目前公认的解决大型企业的统一资源访问控制的有效访问方法，其具备的两个特征是： ①由于角色/权限之间的变化比角色/用户关系之间的变化相对要慢得多，从而减小授权管理的复杂性，降低管理开销。 ②可以灵活地支持企业的安全策略，并对企业变化有很大的伸缩性。

18

4.2访问控制的分类

基于角色的访问控制（RBAC）

（1）RBAC的相关概念 ①角色（Role）：指一个组织或任务中的工作或位置，代表了一种资格、权利和责任。 ②用户（User）：一个可以独立访问计算机系统中的数据或数据表示的其他资源的主体。 ③权限（Permission）：表示对系统中的客体进行特定模式的访问操作，这与实现的机制密切相关。 19

4.2访问控制的分类

基于角色的访问控制（RBAC）

RBAC模型可以分为4种类型，分别是基本模型RBAC0（CoreRBAC）、角色分级模型RBAC1（HierarchalRBAC）、角色限制模型RBAC2（ConstraintRBAC）和统一模型RBAC3（CombinesRBAC）。RBAC基本模型包含了RBAC标准最基本的内容

20

4.2访问控制的分类

基于任务的访问控制（TBAC）

所谓任务,就是用户要进行的一个个操作的统称。任务是一个动态的概念，每项任务包括其内容、状态、执行结果、生命周期等。

TBAC从任务角度进行授权控制，在任务执行前授予权限，在任务完成后收回权限。TBAC中，访问权限是与任务绑定在一起的，权限的生命周期随着任务的执行被激活，并且对象的权限随着执行任务的上下文环境发生变化，当任务完成后权限的生命周期也就结束了，因此它属于一种主动安全模型。 21

4.2访问控制的分类

基于任务的访问控制（TBAC）

TBAC的一些相关概念如下所示。 ①授权步：是指在一个工作流程中对处理对象的一次处理过程。它是访问控制所能控制的最小单元。 ②授权结构体：是由一个或多个授权步组成的结构体。它们在逻辑上是联系在一起的。授权结构体分为一般授权结构体和原子授权结构体。 ③任务：是工作流程中的一个逻辑单元。它是一个可区分的动作，可能与多个用户相关，也可能包括几个子任务。 ④依赖：是指授权步之间或授权结构体之间的相互关系，包括顺序依赖、失败依赖、分权依赖和代理依赖。依赖反映了基于任务的访问控制的原则。

22

4.2访问控制的分类

其它访问控制方式 （1）基于角色-任务的访问控制模型 （2）基于规则策略的访问控制模型 （3）面向服务的访问控制模型 （4）基于状态的访问控制模型 （5）基于行为的访问控制模型23

4.3AAA技术

AAA技术概述

AAA包含三个方面的内容：认证（Authentication）、授权（Authorization）、审计（Accounting），现在人们常常将它们称作为“3A”。AAA已成为网络安全策略研究的重要部分，其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行审计。

AAA的工作相当简单。AAA设置在路由器或者PIX或者任何其他这样的设备上，这些设备都需要AAA对接入设备本身或者与设备相连的网络的用户进行限制。24

4.3AAA技术

认证

认证用于识别用户，在允许远程登录访问网络资源之前对其身份进行识别。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么该用户认证通过，如果不符合，则拒绝提供网络连接。如设立授权参数的话，就必须依据授权参数进行访问和使用。25

4.3AAA技术

授权

授权是用户或设备被给予对网络资源受控制的访问权限的过程。授权让网络管理员控制谁能够在网络中做些什么。它也可以通过PPP服务连接的用户赋予指定的IP地址，要求用户使用特定类型的服务进行连接，或者配置callback之类的高级特性。 当启动AAA授权时，网络接入服务器使用从用户配置文件检索到的信息来配置用户的会话，这些信息要么位于本地用户数据库，要么位于安全服务器上。完成这个工作之后，如果用户设置文件的信息允许的话，用户就会被授予访问特定服务器的权限。26

4.3AAA技术

审计

审计是AAA的最后一个组件。审计是网络接入服务器用来报告认证的和/或授权的用户及设备所做行为进行统计的过程，AAA服务器通过远程用户拨号认证系统或者终端访问控制器访问控制系统进行统计。审计负责进一步的工作并记录被认证和/或者被授权的用户的行为。另外，审计也可以用来跟踪接入设备状态和终端访问控制器访问控制系统或远程用户拨号认证系统通信。 审计信息以统计记录的形式在接入设备和终端访问控制器访问控制系统或远程用户拨号认证系统服务器之间进行交换。每个统计记录包含统计属性-值对，并储存在终端访问控制器访问控制系统或远程用户拨号认证系统服务器上。27

4.4VPN概述

AAA协议

目前最常用的AAA协议包含RADIUS和TACACS+两种。众多厂商都支持AAA协议，如微软内置的Internet身份认证服务，可以支持RADIUS，CISCOACS可支持RADIUS和TACACS+协议。

（1）远程鉴权拨入用户服务（RADIUS） （2）终端访问控制器访问控制系统（TACACS+）28

4.4VPN概述

VPN基本概念

虚拟专用网（VirtualPrivateNetwork，VPN）是指利用密码技术和访问控制技术在公共网络中建立的专用通信网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成，虚拟专用网络对用户端透明，用户好像使用一条专用线路进行通信。

29

4.4VPN概述

VPN的技术要求

（1）安全保障 （2）服务质量（QoS）保证 （3）可扩展性和灵活性 （4）可管理性 从VPN的技术相对于传统专用网具有明显的优势，体现在： （1）可以降低成本 （2）可扩展性强 （3）提供安全保证30

4.4VPN概述

VPN类型

（1）远程访问虚拟网（AccessVPN） 该类型的VPN主要用来处理可移动用户、远程交换和小部门远程访问企业本部的连通性。当出差人员需要和企业或相关部门联系时，便可以利用本地相应的软件接入Internet，通过Internet和企业网络中相关的VPN网关建立一条安全通道。用户使用这条可以提供不同级别的加密和完整性保护的通道，可以传输不同级别保护的信息。如果用户所在地没有这些软件，只要ISP的接入设备可以提供VPN服务的话，用户也可以拨入ISP，由ISP提供的VPN设备和企业本部的VPN网关进行安全通道的连接。31

4.4VPN概述

VPN类型

（2）企业内部虚拟网（IntranetVPN） 企业内部虚拟网主要是利用Internet来连接企业的远程部门。传统的企业内部网络的实现中，通常是采用专线方式来连接企业和各个远程部门的，这样需要为每一个远程部门申请一条专线，其运行、维护和管理费用之高是不言而喻的，且很多时候带宽都得不到有效利用。而VPN只需企业的远程部门通过公用网络和企业本部互联，并且由远程部门网络的VPN网关和企业本部网络的VPN网关负责建立安全通道，在保证数据的机密性、完整性的同时又能大大的降低了整个企业网互联的运行和管理费用。32

4.4VPN概述

VPN类型

（3）企业扩展虚拟网（ExtranetVPN） 该类型网络主要是用来连接相关企业和客户的网络，传统的实现方案中，主要也存在费用较高，需要进行复杂的配置等诸多不便。而VPN可以在一定程度上解决这些问题，通过Internet的互联，在降低了整个网络的运行费用的同时又能在其他软件的辅助下较好地进行用户访问控制与管理。33

4.4VPN概述

VPN的安全技术

1、隧道技术 隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道实质上是一种封装，它把一种协议A封装在另一种协议B中传输，实现协议A对公用网络的透明性。隧道根据相应的隧道协议来创建。 隧道可以按照隧道发起点位置，划分为自愿隧道和强制隧道。自愿隧道由用户或客户端计算机通过发送VPN请求进行配置和创建，此时，用户端计算机作为隧道的一个端点。强制隧道由支持VPN的拨号接入服务器配置和创建，此时，作为隧道端点是位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端。34

4.4VPN概述

VPN的安全技术

隧道技术在VPN的实现中具有如下主要作用： （1）一个IP隧道可以调整任何形式的有效负载，使远程用户能够透明地拨号上网来访问企业的IP、1PX或AppleTalk网络。 （2）隧道能够利用封装技术同时调整多个用户或多个不同形式的有效负载。 （3）使用隧道技术访问企业网时，企业网不会向Internet报告它的IP网络地址。 （4）隧道技术允许接受者滤掉或报告个人的隧道连接。35

4.4VPN概述

VPN的安全技术

2、加解密技术 加密技术是数据通信中一项较成熟的技术。利用加密技术保证传输数据的安会是VPN安全技术的核心。为了适应VPN工作特点，目前VPN中均采用对称加密体制和公钥加密体制相结合的方法。 VPN目前常用的对称密码加密算法有：DES、3DES、RC4、RC5、IDEA、CAST等。 当前常见的公钥体制有RSA、D-H和椭圆曲线等，相应的加密算法都已应用于VPN实际实现中。36

4.4VPN概述

VPN的安全技术

3、密钥管理技术 密钥管理技术的主要任务是如何实现在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术有SKIPISAKMP/OAKLEY SKIP基于一个D-H公钥密码体制数字证书。SKIP隐含地在通信双方实现了一个D-H交换，它简单易行，对公钥操作次数少，节省系统资源，但由于公钥长期暴露，因而存在着安全隐患。

ISAKMP/OAKLEY协议（又称IKE），即通常所说的因特网密钥交换协议。它综合了OAKLEY和SKEME的优点，形成了一套具体的验证加密材料生成技术，以协商共享的安全策略。37

4.4VPN概述

VPN的安全技术

4、身份认证技术

VPN中最常用的是用户名/口令或智能卡认证等方式。 身份认证是通信双方建立VPN的第一步，保证用户名/口令，特别是用户口令的机密性至关重要。在VPN实现上，除了强制要求用户选择安全口令外，还特别采用对用户口令数据加密存放或使用一次性口令等技术。智能卡认证具有更强的安全性，它可以将用户的各种身份信息及公钥证书信息等集中在一张卡片上进行认证，做到智能卡的物理安全就可以在很大程度上保证认证机制的安全。38

4.5VPN隧道协议

VPN隧道协议

VPN具体实现是采用隧道技术，而隧道是通过隧道协议实现的，隧道协议规定了隧道的建立，维护和删除规则以及怎样将企业网的数据封装在隧道中进行传输。隧道协议可分为第二层（链路层）隧道协议第三层（网络层）隧道协议。

39

4.5VPN隧道协议

第二层隧道协议

1、PPTP PPTP（点对点隧道协议）是在PPP（点对点协议）的基础上开发的一种新的增强型隧道协议。利用PPP协议的身份验证、加密和协议配置机制，PPTP为远程访问和VPN连接提供了一条安全路径。 PPTP通过控制连接来创建、维护和终止一条隧道，并使用GRE（通用路由封装）对经过加密、压缩处理的PPP帧进行封装。通过PPTP，用户可以采用拨号方式接入到公共网络。

40

4.5VPN隧道协议

第二层隧道协议

PPTP通信由主要由以下两部分组成： （1）PPTP控制连接 PPTP的控制连接是一种必须通过一系列PPTP消息来创建、维护与终止的逻辑连接。PPTP控制连接通信过程使用PPTP客户端上动态分配的TCP端口以及PPTP服务器上编号为1723的反向IANATCP端口。PPTP控制连接数据包包括一个IP报头，一个TCP报头和PPTP控制信息。

41

4.5VPN隧道协议

第二层隧道协议

PPTP控制连接的过程如下： ①在PPTP客户端上动态分配的TCP端口与编号为1723的TCP端口之间建立一条TCP连接。 ②PPTP客户端发送一条用以建立PPTP控制连接的消息。 ③PPTP服务器通过一条PPTP消息进行响应。 ④PPTP客户端发送另一条消息，并且选择一个用以对从PPTP客户端向服务器发送数据的PPTP隧道进行标识的调用ID。 ⑤PPTP服务器通过进行应答，并且为自己选择一个用以对从服务器向客户端发送数据的PPTP隧道进行标识的调用ID。 ⑥PPTP客户端发送一条PPTPSet-Link-Info消息，以便指定PPP协商选项。42

4.5VPN隧道协议

第二层隧道协议

（2）PPTP数据隧道 当通过PPTP连接发送数据时，PPP帧将使用GRE报头进行封装，GRE报头包含了用以对数据包所使用的特定PPTP隧道进行标识的信息。 初始PPP有效载荷如IP数据报、IPX数据报或NetBEUI帧等经过加密后，添加PPP报头，封装形成PPP帧。PPP帧再进一步添加GRE报头，经过第二层封装形成GRE报文，在第三层封装时添加IP报头。数据链路层封装是IP数据报多层封装的最后一层，依据不同的外发物理网络再添加相应的数据链路层报头和报尾。43

4.5VPN隧道协议

第二层隧道协议

PPTP数据包的在接收端的处理过程如下： ①处理并去除数据链路层报头和报尾。 ②处理并去除IP报头。 ③处理并去除GRE和PPP报头。 ④如需要，对PPP有效载荷即传输数据进行解密或解压缩。 ⑤对传输数据直接接收或者转发处理。44

4.5VPN隧道协议

第二层隧道协议

2、L2F（第二层转发协议） L2F是由Cisco公司提出的可以在多种传输网络上建立多协议的一种隧道协议，当然它也采用了tunneling技术，主要面向远程或拨号用户的使用。L2F可以在多种传输介质（如ATM、FR）上建立VPN通信隧道。它可以将链路层协议封装起来进行传输，因此网络的链路层独立于用户的链路层协议。 L2F远程接入过程为：远程用户按照常规方式拨号到ISP的接入服务器NAS，建立PPP连接，NAS根据用户名等信息再发起第二重连接，呼叫用户网络的服务器。整个过程中，L2F隧道的建立和配置对于用户来说是完全透明的。

45

4.5VPN隧道协议

第二层隧道协议

3、L2TP（第二层隧道协议） L2TP是一种工业标准Internet隧道协议，它把链路层PPP帧分装在公共网络设施（如IP、ATM、FR）中进行隧道传输。L2TP结合了PPTP协议以及L2F协议的优点，能以隧道方式使PPP数据包通过各种网络协议。L2TP隧道的维护不在独立的连接上进行，数据信息的传输是通过多级封装实现的。在安全性上，L2TP仅仅定义了控制包的加密传输方式，对传输中的数据并不加密。 L2TP系统由认证模块、日志模块、LAC（L2TP访问集中器）模块和LNS（L2TP网络服务器）模块组成。46

4.5VPN隧道协议

第二层隧道协议

3、L2TP（第二层隧道协议） （1）认证模块 认证模块有一个极为重要的数据资源——用户认证数据库，库中由多个用户信息记录组成。每个用户记录由用户号、用户组、用户真实姓名、用户认证协议、用户使能状态构成和CHAP共享秘密组成。当然，这里的用户对LNS而言是LAC，对LAC而言是LNS。47

4.5VPN隧道协议

第二层隧道协议

（2）日志模块 日志模块作为一个函数库使用，如WrSysLo（）接口，日志功能是成熟系统的一大标志。本系统不仅提供一般的系统日志，还对L2TP的包进行分类分级，如系统日志、数据包（包括PPP）日志和控制包日志都以独立的日志文件存在，在必要的时候，通过日志级别可审计不同的日志。48

4.5VPN隧道协议

第二层隧道协议

（3）LAC模块 LAC用于发起呼叫，接收呼叫和建立隧道，为用户提供网络接入服务，具有PPP端系统和L2TP协议处理能力。

当入站调用请求到达时，将由LAC生成入站调用消息；检测LNS的连接，如果没有建立，则初始化到LNS的连接；生成新的出站控制包，加入控制消息，设置状态为SCCRQ，生成挑战，并标示挑战位为真；发出控制连接请求包，等待开始控制连接响应包；当收到开始连接的响应，如果一切正常，则根据主机名和本文的主机名计算挑战值，与期望值一致，就发送开始控制连接包，否则发送停止控制连接包，清除隧道；等待HELLO包；在一定的时间延迟内，如收到HELLO包，则创建成功，发出ACK包，否则清除隧道。49

4.5VPN隧道协议

第二层隧道协议

（4）LNS模块 当收到一个控制连接请求包的请求时，首先检查连接请求包是否可以接收，如果是，则生成一个新的控制连接响应包，生成挑战值，并在包中指明期望的响应值，发出控制连接响应包，否则发出停止控制连接包，清除隧道；等待接收控制连接包，看是否可以接收，如果是则计算挑战值，如果与控制连接包中的期望值一致，发出HELLO包，等待；如果收到ACK包则表明控制连接创建成功。50

4.5VPN隧道协议

第二层隧道协议

L2TP的建立过程是： ①用户通过公共电话网或ISDN拨号至本地接入服务器LAC，LAC接收呼叫并进行基本的辨别。 ②当用户被确认为合法用户时，就建立一个通向LNS的拨号VPN隧道。 ③企业内部的安全服务器（如RADIUS）鉴定拨号用户。 ④LNS与远程用户交换PPP信息，分配IP地址。 ⑤端到端的数据从拨号用户传到LNS。51

4.5VPN隧道协议

第三层隧道协议

1、GRE 通用路由封装（GRE）是网络中通过隧道将通信从一个专用网络传输到另一个专用网络的协议，它属于网络层协议。 它的运行过程通常是这样的：当路由器接收了一个需要封装的上层协议数据报文，首先这个报文按照GRE协议的规则被封装在GRE协议报文中，而后再交给IP层，由IP层再封装成IP协议报文便于网络的传输，等到达对端的GRE协议处理网关时，按照相反的过程处理，就可以得到所需的上层协议的数据报文了。

52

4.5VPN隧道协议

第三层隧道协议

1、GRE

GRE具有如下优点： ①多协议的本地网可以通过单一协议的骨干网实现传输； ②可以将一些不能连续的子网连接起来，用于组建VPN； ③扩大了网络的工作范围。包括那些路由网关有限的协议，例如IPX包最多可转发16次，而在一个隧道连接中看上去只经过一个路由器。53

4.5VPN隧道协议

第三层隧道协议

1、GRE

传输的头是IPv4的头。有效载荷分组可以是IPv4的头，或者其它协议。GRE允许非IP协议在有效载荷中传输。使用IPv4头的GRE分组被归入IP协议，类型号为47。当为GRE生成过滤时这是一条很重要的信息。当GRE中封装的分组是IPv4时，GRE头协议类型域被设定为0x800。

54

4.5VPN隧道协议

第三层隧道协议

1、GRE 基于RFC1701的GRE头格式。55

4.5VPN隧道协议

第三层隧道协议

2、IPSec

IPSec的定义如下：网络层中的一个安全协议，为提供加密安全服务而开发，该服务可以灵活地支持认证、完整性、访问控制以及数据一致性。IPSec是安全联网的长期方向，它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。

IPSec安全结构包括3个基本协议：AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密保证；密钥管理协议提供双方交流时的共享安全信息。 56

4.5VPN隧道协议

第三层隧道协议

2、IPSec

IPSec采用两种工作方式：隧道模式和传输模式。 隧道方式中，整个用户的IP数据包被用来计算ESP包头，整个IP包被加密并和ESP包头一起被封装在一个新的IP包内。真正的源地址和目的地址被隐藏起来。 传输模式中，只有高层协议（TCP、UDP等）及数据进行加密。此模式下，源地址、目的地址及所有IP包头的内容都不加密。57

4.5VPN隧道协议

第三层隧道协议

2、IPSec

IPSecVPN可以被分为两大类：LAN-to-LANIPSec实现和远程访问客户端。 （1）LAN-to-LANIPSec实现 LAN-to-LANI